HardenedVault 写道 "2021年11月30日到12月1日，又到了一年一度的开放固件大会，至今已经是第4届，由于疫情的缘故，开放固件大会2020和2021都是线上举行的，今年有来自全球的300名固件领域的从业人员参与，赛博堡垒（HardenedVault）是今年的赞助商之一，赛博堡垒与多个厂商交流了2022财年的服务器和边缘设备的高级防护方案，而HardenedLinux依旧在自由与开放固件生态项目中。今年的议题非常丰富，u-bmc，LinuxBoot以及ARM和Intel的下一代固件战略布局。另外，自从SolarWinds事件后，供应链安全成为了业界关注的重点，固件和硬件领域的供应链问题带来的危害远比大部分人认知的要严重，冗长的链条和碎片化带来的复杂性让防护的一方难以应对尝试把恶意检测规则和LVFS（Linux Vendor Firmware Service）融合能阻挡部分威胁，这算是一个猫鼠游戏的有趣尝试。最后就是这年头到哪里都会有人讨论Rust实现和各种重写的替代方案，这有点像2014到2019那段时间里如果新方案里没个go的实现都不太好意思讲是cutting-edged，今年有一个议题是讲oreboot（Rust重写coreboot）："

Mozilla 介绍了即将发布的 Firefox 95 引入的新沙盒技术 RLBox。RLBox 由 Mozilla 与加州圣迭戈和德州大学的研究人员联合开发，旨在简单高效的隔离子组件，加强浏览器的安全性。RLBox 使用 WebAssembly 技术去隔离潜在含有 bug 的代码，方法是将这些代码编译到 WebAssembly 然后再编译到原生码，这种编译转换限制不可信的代码访问程序的其它部分，限制其访问指定区域之外的内存。目前这项技术已用于隔离五个模块：Graphite、Hunspell、Ogg、Expat 和 Woff2，Firefox 将这些模块视为不信任的代码，因此即使其中含有 0day 漏洞也不会影响整体的浏览器。下一个版本将隔离另外两个模块 Expat 和 Woff2。

James Howells 本来应该像英国女王那样富有。2013 年，28 岁的他生活在威尔士的纽波特市，与伴侣 Hafina 抚养三个孩子。8 月的一个晚上，他整理了自己的办公室，在抽屉里发现了两个硬盘，一个硬盘是空的，另一个硬盘保存了戴尔游戏本里的文件，笔记本被打翻的柠檬水毁掉了，部分文件后来转移到了一台苹果 iMac 电脑，他认为硬盘已经无用，因此扔进了垃圾袋，让 Hafina 扔掉。虽然 Hafina 口头上拒绝但第二天早上还是把包含硬盘的垃圾袋送到了垃圾场。几个月后他才记起来硬盘里还有保存的比特币。他早在比特币诞生不久就听说过它并尝试挖掘比特币。当时比特币还很容易用普通的电脑挖掘。他断断续续挖了几个月，在停止活动前挖到了大约 8000 个比特币。今天它们价值五亿美元。James Howells 过去几年一直致力于找回被埋在垃圾场里的旧硬盘，但屡次受挫，他的生活也发生了天翻地覆的变化。

UCLA 和 Google Research 的研究人员在预印本网站发表论文《Reduced, Reused and Recycled: The Life of a Dataset in Machine Learning Research》（PDF），指出机器学习研究领域被少数开源数据集支配的现状。研究人员分析了 2015-2020 年之间不同机器学习社区使用的数据集，发现少数数据集被集中使用。在分析 43,140 个样本中，超过五成使用的数据集来自于 12个精英机构。研究人员认为这种高度集中化的趋势带来了实用性、伦理甚至政治方面的问题。研究人员称，计算机视觉受政府影响最大，自然语言处理受最少影响。计算机视觉尤其是脸部识别领域常用的数据集得到了企业、美国军方和中国政府（MS-Celeb-1M、 CASIA-Webface、IJB-A、VggFace2，其中 MS-Celeb-1M 因隐私争议被撤回）的资助。

狂热者预测，量子计算机有一天会创造无尽的奇迹——从破解数字加密到设计神奇药物。但在目前的早期阶段，量子算法的优势只是揣测。部分研究人员甚至怀疑在亚原子水平进行必要的控制是否可能。哈佛大学物理学家 Markus Greiner 表示：“这是一个艰巨的目标。”

即使没有成熟的量子计算机，物理学家正使用更特定的相关类型——量子模拟器——实现该领域一个最初目标：模拟量子系统的拜占庭式行为。 正如 Richard Feynman 在 1981 年的一次演讲中所言，“自然不是经典的，该死的，如果你想模拟自然，你最好用量子力学。” 过去几年，巴黎和马萨诸塞州剑桥市的小组使用量子模拟器在这方面取得了进展。他们进行了一系列的模拟，如果在经典计算机上进行可能需要花费数个月或者更长时间。 该技术的先驱之一、目前在新墨西哥大学工作 Ivan Deutsch 表示：“他们一直在探索物理学的一些前沿领域。”

剑桥小组上周在《科学》上公布了他们迄今为止最重要的发现：检测到一种被称为量子自旋液体的物质状态，该物质状态难以捉摸，不存在于描述物质组织方式的百年范式之中。它证实了一个有近 50 年历史、预测了这种奇异状态的理论，这也标志着朝着构建真正有用的通用量子计算机的梦想迈进了一步。 加州大学伯克利分校凝聚态理论学家 Ehud Altman 表示：“纵观超冷原子实验的整个历史，这可能是该领域最令人印象深刻也最具开创性的实验之一。”

算法在生活中扮演的作用越来越重要，即使其缺陷越来越明显：一名被错误指控欺诈的密歇根男子不得不申请破产；自动筛选工具不成比例地伤害想要买房或租房的有色人种；Facebook 的黑人用户比白人用户受到更多的辱骂。其他自动化系统不公正地对教师、学生进行评分，频繁地将深色皮肤的人标记为在考试中作弊。现在人们努力更好地了解人工智能的工作原理并让用户负责。纽约市议会上个月通过一项法律，要求对雇主在在招聘或晋升时使用的算法进行审查。该法律在全美尚属首例，要求雇主引入外部人员评估算法是否存在性别、种族或民族方面的偏见。如果人工智能在雇佣和晋升决策过程中发挥作用，雇主还必须告知居住在纽约的求职者。在华盛顿特区，国会议员正在起草一项法案，要求企业评估用于医疗保健、住房、就业或教育等领域的自动化决策系统，将调查结果报告给联邦贸易委员会（FTC）； FTC 的五个成员中有三个支持对算法进行更严格的监管。白宫上个月提出的人工智能权利法案要求如果人工智能做出影响一个人的公民权利的决定，需要进行披露，表示人工智能系统应该“仔细审核”其准确性和偏见等问题。

量子计算机不会明显超越经典硬件的单一时刻。我们可能会首先看到它对一组狭窄的问题有用，然后逐渐扩大到越来越多的计算范围。问题现在转变成了首先出现实际应用的地方在哪里。量子计算初创公司 Rigetti 发布了一份白皮书，至少从理论上确认量子计算机应该在一个用例上更有优势。它实际上很有用：替换用于分析天气数据的神经网络。Rigetti 的员工研究的问题涉及获取部分天气数据并推断其余数据。地球很多地区缺乏良好的覆盖，因此我们只能得到当地情况的部分信息。如果有商用飞机之类经过上述偏远地区，我们通常会想要更全面地了解那里的情况。为了解决该问题，我们对拥有更完整天气数据的地区训练神经网络。经过训练之后，可给系统部分数据，让系统推断出其余部分可能是什么。例如经过训练的系统可使用卫星云图和雷击数据等内容创建可能的天气雷达图。这正是神经网络擅长的事情：识别模式和推断相关性。引起 Rigetti 团队注意的是，此类神经网络能很好地映射到量子处理器上。在典型的神经网络中，一层“神经元”在将其结果发送给下一层之前执行操作。网络通过改变不同层的单元之间的连接强度来“学习”。在量子处理器上，每个量子比特都可以执行等效的操作。量子比特之间也共享连接，连接的强度可以调整。因此可以在量子处理器上实现和训练神经网络。

量子计算机不会有明显超越经典计算机的单一时刻。我们可能会看到它们对一组狭窄的问题有用，然后逐渐扩大到越来越多的计算范围。问题变成了首先出现实际应用的地方在哪里。量子计算初创公司 Rigetti 发布一份白皮书，至少从理论上确认了量子硬件应该在一个用例上更有优势。它实际上很有用：替换用于分析天气数据的神经网络。Rigetti 的员工研究的问题涉及获取部分天气数据并推断其余数据。地球上很多地区都缺乏良好的覆盖，因此我们只能得到当地情况的部分信息。如果有商用飞机经过上述偏远地区，我们通常会想要更全面地了解当地情况。为了解决这个问题，首先对拥有更完整天气数据的地区训练神经网络。训练之后，可以给系统部分数据，让系统推断出其余部分可能是什么。例如经过训练的系统可以使用卫星云图和雷击数据等内容创建可能的天气雷达图。这正是神经网络擅长的事情：识别模式和推断相关性。引起 Rigetti 团队注意的是，此类神经网络也能很好地映射到量子处理器上。在典型的神经网络中，一层“神经元”在将其结果发送给下一层之前执行操作。网络通过改变不同层的单元之间的连接强度来“学习”。在量子处理器上，每个量子比特都可以执行等效的操作。量子比特之间也共享连接，连接的强度可以调整。因此可以在量子处理器上实现和训练神经网络。

1970 年代，黑胶唱片销量达到了每年 5.3 亿张的峰值，占所有音乐格式销售收入的 66%。到 1990 年代，黑胶唱片销量下滑至不到 1000 万张——仅占0.1%的市场份额。但最近几年唱片行发生了奇怪的现象：黑胶唱片卷土重来，规模小但势头强劲，在这个数字乐趣转瞬即逝的时代，黑胶唱片满足了对有形资产的渴望。 过去的 15 年中，黑胶唱片的销量逐年增加。仅在 2021 年上半年，专辑销量就达到 1700 万张，比 2020 年增长了 86%。在这次极其罕见的转向中，一项旧技术回归并超越了一项新技术。去年黑胶唱片的年销售额自 1986 年来首次超过 CD。今年黑胶唱片的销售额有望达到 CD 的两倍。这些数字不包括通过Discogs（900 万个活跃商品）和 eBay（350 万个）等在线市场或者遍布美国的 1,400  家本地唱片店销售的数百万张二手唱片。根据 Forbes 的数据，二手黑胶唱片销量很可能是新唱片的 1.5 倍，根据 2021 年的预测，这一数量约为 5000 万张。不过今天音乐行业 84%的收入仍然是来自流媒体。

美国网络司令部承认，随着美国公司越来越多地成为恶意软件攻击的目标，军方开始对勒索软件组织发起进攻。美国网络司令部负责人兼国家安全局局长 Paul M. Nakasone 将军告诉《纽约时报》，直到大约九个月前，遏制勒索软件攻击被视为是执法机构的责任。但随着对 Colonial Pipeline 和 JBS 牛肉制造商之类的攻击“影响我们关键的基础设施”，导致联邦机构加大对勒索软件组织的情报收集和共享力度，Nakasone 没有透露所采取的行动或瞄准了哪些目标群体，但他表示目标之一是让勒索软件群体“付出代价”。Nakasone 说：“在此之前、期间和之后，我们与政府部门一起采取行动，并且使之付出了代价。这是我们应该时刻注意的重要部分。”

一项国际调查 (PDF) 发现澳大利亚人平均每年喝醉酒 27 次，几乎是全球平均水平 15 次的两倍。近四分之一澳大利亚人表示对醉酒感到后悔。全球药品调查（Global Drug Survey）询问了 22 个国家的 32,000 人去年的毒品和酒精消费状况。平均而言，澳大利亚人每周饮酒两晚，与全球平均水平一致，大约每两周就会严重醉酒一次。法国人在这一指标上名列前茅，每周大约饮酒 3 次。澳大利亚参与者因醉酒而寻求紧急护理的比例（3.9%）是全球平均水平（1.2%）的 3 倍。全球药品调查研究员 Monica Barratt 博士表示，澳大利亚的高醉酒率可能与该国大部分地区在 2020 年没有避开新冠肺炎封锁有关。除维多利亚州外，大多数州和领地只经历了短暂的严厉封锁，病例或死亡人数相对较少，允许招待场所保持开放，活动继续进行。”而新西兰人几乎比调查中任何其他国家的醉酒次数都少，每年大约喝醉 10 次。

研究人员在预印本网站 arXiv 发表报告《暗网上的新冠疫苗接种证明》，指出部分暗网市场继续出售可在多国使用的疫苗接种证明。报告尚未经过同行评审。四名研究人员都是丹麦哥本哈根奥尔堡大学网络安全小组成员，他们审查了 17 个市场和 10 个供应商商店的疫苗接种证明。研究人员发现，至少有一家供应商在销售注册地为意大利的数字接种证明，该证明被法国和丹麦开发的移动新冠疫苗证明检查应用程序视为有效。

奥尔堡大学研究人员指出，许多暗网市场禁止销售任何与新冠肺炎相关的物品。但一部分暗网市场允许出售实体和数字疫苗证明，在某些情况下还允许出售“黄色疫苗接种卡”或其他可作为疫苗接种证明的疫苗接种记录卡——尽管只在卡片发行国有效。研究人员写道：“这些商品主要集中在欧洲国家和美国，但也有其他大陆和国家，如巴西、加拿大、墨西哥和澳大利亚，”以及俄罗斯。他们写道：“不同的商品定价差异很大，最便宜的证明起价为 39 美元，最高价达到近 2,800 美元，后者包括一份在英国注册的实体证明和一份数字证明。” 大多数市场都接受比特币和门罗币作为支付方式，少数市场接受以太坊、艾达币、莱特币和 zcash 等数字货币。研究人员指出，购买伪造的数字证明给卖家提供了大量机会欺骗买家。

如果伪造的新冠疫苗接种证明确实可被认定为有效证明，那么仍然存在一个悬而未决的问题：是如何做到的？研究人员表示，许多网站声称可访问用于颁发证明的系统，他们要么通过远程入侵的方式，要么通过在医疗保健或其他卫生组织工作的内部人员。他们表示：“就俄罗斯市场 Hydra 上的一个商品而言，商品描述甚至提到了访问该系统的确切位置和医院。”另一种可能性是犯罪分子以某种方式窃取了该欧洲系统的一个或多个私钥，这些私钥是发给参与的卫生组织的。研究人员表示，这将很难撤销这些密钥，因为这会使大量合法证明失效。

据央视财经官方微博12月5日晚消息，今年以来，全球多国房价迎来了十年来最大涨幅，欧洲、北美、日韩等发达国家房价涨幅达到了惊人的程度，许多民众直呼买不起。数据显示，截至2021年第二季度，全球平均房价同比上涨了9.2%，其中，新西兰房价涨幅为25.9%，美国和斯洛伐克的房价涨幅也均达到了18.6%，土耳其房价涨幅更是高达29.2%，位居全球第一。

英国公司 Engineered Arts 开发出一种人形机器人，可轻松展示类人表情。发布在 YouTube 的一段短视频中，该公司展示了最先进的人形机器人 Ameca，它最初是一个测试机器人技术的平台。在视频中，人形机器人似乎在实验室中醒来，人类则在后台忙着工作。机器人移动它的手臂，在几秒钟内做出一连串表情，在看到手和手指动作流畅时做出惊讶的表情，然后吃惊地看向摄像头。视频充分展示了机器人上半身可以做什么。不过它的下半身目前完全无用。Engineered Arts 公司网站介绍，类人机器人 Ameca 还无法行走。尽管该公司对此进行了研究，但是尚未将学习成果转化到该机器人上。Engineered Arts 使用模块化架构构建机器人。因此无需重新购买新的机器人就可以对软件和硬件组件进行升级。所以 Ameca 迟早也会行走。Ameca 由 Engineered Arts 的Tritium 操作系统提供支持，系统允许从事机器人技术开发的公司测试技术。无论是大公司或初创公司正在开发的人工智能或机器学习技术，都可用 Ameca 进行测试甚至在现场观众面前展示他们的技术。Engineered Arts 甚至可以出租 Ameca 用于展览或电视直播讨论。

好莱坞电影中的对白在过去十年愈来愈让人难以理解，不是因为台词深奥而是因为声音太吵，不看银幕上的字幕会不明白角色在说什么。这不是个别人的问题，而是许多人的共同体验。

曾担纲《疯狂的麦克斯：狂暴之路》和《银翼杀手2049》音效设计师的奥斯卡金像奖得主 Mark Mangini 表示：“有很多原因。这就像是秋葵汤，问题在过去十年不断累积……在这段时间里，电影制作界所有人都注意到对话越来越难以理解了……”在谈到对话难以理解时，有一个名字最为突出：诺兰（Christopher Nolan）。这位执导了《信条》、《星际穿越》和《黑暗骑士崛起》的导演是他那一代最成功的电影人之一，他运用自己的力量确保他的电影突破声音设计的边界，经常导致观众无法理解他的角色在场景中所说的话。诺兰的电影不仅给观众带来困惑：导演本人甚至透露其他电影制作人也曾向他抱怨这个问题……因《爆裂鼓手（Whiplash）》和之前的《好景当前（The Spectacular Now）》获得奥斯卡奖的混音师 Thomas Curley 也看到了这种心态。他说：“在现实生活中，不是所有的东西都具有非常清脆、电影般的声音，我认为一些人正在试图复刻这一点。”

Curley 提到一些其他因素：总的来说，今天的演员也“有点时尚”，会“轻柔地或者轻声细语地说台词。”另一位声音设计师抱怨今天的视觉效果更好的电影更加排斥近距离放置的悬臂麦克风——而另一位声音编辑指出，压缩拍摄时间加剧了问题。一位希望保持匿名的好莱坞知名音响专业人士甚至指责大量运用的新技术：“更多的音轨可以播放，更多的选择，因此对声音编辑的期望和要求更多……我们需要支配数百个音轨。”

欧洲空间局(ESA)负责人敦促欧洲领导人停止助长马斯克(Elon Musk)主宰新太空经济的雄心，并警告称，缺乏协调行动意味着这位美国亿万富翁正在“自己制定规则”。欧空局新任总干事 Josef Aschbacher 表示，欧洲愿意帮助马斯克的星链(Starlink)卫星互联网服务快速扩张，这可能会阻碍该地区的本土公司认识商业太空的潜力。Aschbacher 指出，星链星座的规模是如此庞大，以至于监管机构或竞争对手都难以追赶，马斯克一个人就拥有全世界现役卫星的半数。他正在制定太空规则，而包括欧洲在内的世界各国反应都不够快。

加密货币交易平台 BitMart 发表声明，证实有价值 1.5 亿美元的加密货币被盗。BitMart 称它的一个 ETH 热钱包和一个 BSC（币安的智能链） 热钱包被黑客访问，受影响 ETH 热钱包和 BSC 热钱包只包含 BitMart 资产的一小部分，它的其它钱包都是安全的。它正对此展开安全调查，并暂停取款，希望用户理解和耐心等待。但安全公司 Peckshield 对区块链的记录分析估计被盗取的加密货币价值 1.96 亿美元：其中以太坊价值约 1 亿美元，币安智能链加密令牌价值约 9600 万美元。

至少从 2017 年起，一位神秘威胁源起方运营上千恶意 Tor 网络入口、中继和出口节点，此举被认为旨在对 Tor 网络用户进行去匿名化攻击。这位神秘攻击者被命名为 KAX17，Tor 网络通常有 9000 到 10000 个服务器，而 KAX17 在高峰期间运行了 900 多个恶意服务器。安全研究员、Tor 中继节点维护者 Nusenu 认为，在某个时刻，Tor 用户有 16% 的几率通过 KAX17 的入口节点进入 Tor 网络，有 35% 的几率通过其中继节点，有最高 5% 的几率通过其出口节点离开匿名网络。所有迹象显示 KAX17 的背后是一个国家级的资源丰富的威胁源起方。进入 Tor 网络的服务器通常需要提供联络信息，以便在必要时联络服务器的管理员，比如配置错误或遭到滥用。但由于缺乏足够的节点实现匿名化，一些没有联络信息的服务器也会经常添加到 Tor 网络。Nusenu 是在 2019 年注意到没有提供联络信息的 KAX17，发现其活动至少能被跟踪到 2017 年。Nusenu 和 Tor 项目都不愿猜测幕后者的身份。

微软在发布 Windows 11 时被发现修改默认浏览器非常繁琐，要改变默认的浏览器，用户需要修改一遍 HTM、HTML、PDF、SHTML、SVG,、WEBP、XHT、XHTML、FTP、HTTP 和 HTTPS 等文件类型和链接类型打开的默认浏览器。微软此举受到了广泛批评。上周微软看起来改变了受争议的做法，它的新测试版本允许 Chrome、Firefox 等浏览器用户一键修改默认浏览器。微软营销副总裁 Aaron Woodman 在一份声明中表示，刚刚发布的 Windows 11 Insider Preview Build 22509 简化了将默认浏览器设置为打开 HTTP:、HTTPS:、.HTM 和.HTML 应用的能力。

 IoT Inspector 的安全研究人员和 CHIP 杂志合作测试了华硕、AVM、D-Link、Netgear、Edimax、TP-Link、Synology 和 Linksys 制造的九种 WiFi 路由器，这些路由器被数百万用户使用，供应商提供了最新的型号，升级到了最新的固件版本，但测试仍然发现了 226 个潜在漏洞。不是所有的缺陷都是安全漏洞，部分缺陷难以利用，但有许多漏洞可归类为中高危级。研究人员发现的路由器问题包括：使用过时的 Linux 内核版本，过时的多媒体和 VPN 功能，过度依赖于旧版本的 BusyBox，使用如 admin 之类的默认弱密码， 在纯文本格式中保存硬编码凭证，等等。